인터넷상에 고정된 우분투를 놓고, 무선이든 유선이든 인터넷이 가능한 모바일기기(넷북…)에서
우분투로 원격접속을 할 때(ssh…), 다른노드는 모두 막고 이 기기만 허용하게 하려면 어떻게 하여야 할까요?
iptables에서의 mac지정은 동일한 서브넷 내에서만 가능하다던데…
가장 편한 방법은
/etc/hosts.allow 와 /etc/hosts.deny 를 사용 하는 방법입니다.
/etc/hosts.deny 안에
ALL:ALL
이라 히시면 모은 아이피에 대하여 접속을 막고
/etc/hosts.allow 안에
SSH:허용할 IP
또는
ALL:허용할 IP
를 넣어 주시면 됩니다.
답변 감사합니다.
문제는 이 클라이언트의 IP가 자주 바뀌었을 때 입니다.
고정된 IP로의 접근허용이 아니고, 고정된 기기(컴퓨터)에서의 접근을 원하는데…
이 고정된 기기는 다양한 장소에서 인터넷을 할 수 있지만, 그때마다 다른 IP를 사용할 것 입니다.
저 같은 경우는 중요한 서버는 ufw(iptables)로 아이피 2~3개 정도만 허용하고
공짜로 생긴 다른 ssh 계정 서버 이용하여 본인 서버에 로그인 합니다.
싸돌아 다니다가 접속할 일 있어서요, 귀차니즘에 위 정도만 보안 합니다
우선 지정된 기기라 처리할 수 있는 정보를 생각해보세요.
MAC주소나 CPU번호 등등이 있겠지요.
네트웍을 통해서 접속할 때 이런 정보들을 처리해줄 수 있는 기존 프로토콜이?
없습니다. =.=
결과적으로 지정된 기기만 접속 가능하게 하기 위해서는 새로운 프로토콜이 필요할 지도 모르겠습니다.
그러나… 잘 생각해보면 =.=a
지정된 기기에 ssh 키를 주고, ssh 키 로그인 하는 방법이 있지 않을까 합니다.
[quote="haze11":25s9qyor]
그러나… 잘 생각해보면 =.=a
지정된 기기에 ssh 키를 주고, ssh 키 로그인 하는 방법이 있지 않을까 합니다.[/quote:25s9qyor]
그림이 나올 것 같은데요? ^^
인증키로그인 함 살펴봐야겠네요.
고맙습니다~.
뭐 개인키/공개키 기반으로 하건 아니면 그냥 패스워드 기반으로 하건 혹은 호스트 베이스로 하건, 어쨌든 사용자 인증으로 하시면 되죠. ㅎㅎ
사용자 인증으로 하시면 꼭 해당 PC 뿐만 아니라 다른 PC에서도 접속 가능하니 이쪽이 훨씬 유연한 방법이겠죠.
다만 이 경우에는 보안에 유념하셔야 하는데, 역시 이 경우 개인키/공개키 기반 인증이 가장 낫긴 하겠네요.
SSH 접속을 개인키/공개키 기반으로 인증하는 방법들에 관한 링크 몇 개 붙입니다~ ^^
http://blog.pages.kr/31 http://anyx.tistory.com/21 http://kldp.org/node/28907 http://kldp.org/node/73517그럼 이만.
[quote="pcandme":307q0nc5]
사용자 인증으로 하시면 꼭 해당 PC 뿐만 아니라 다른 PC에서도 접속 가능하니 이쪽이 훨씬 유연한 방법이겠죠.
다만 이 경우에는 보안에 유념하셔야 하는데, 역시 이 경우 개인키/공개키 기반 인증이 가장 낫긴 하겠네요.
[/quote:307q0nc5]
저도 그렇게 생각합니다.
하지만, 인증키로그인을 사용하려면 포트를 열어놔야겠죠?
패킷필터링으로 특정호스트만 제외하고 다 막아놓았거든요…
포트에 껄떡대는 로그가 없어서 좋았는데, 또다시 껄떡대겠네…
올려주신 정보 감사합니다.
안녕하세요. Seony입니다.
일단 IP나 기타 여러가지 상황이 변동될 수 있다는 가정 하에서 기기마다 하나의 아이디만 부여해준다면,
SSH의 경우, 제가 생각하는 가장 편한 방법은 /etc/ssh/ssdh_config 파일을 열어서 가장 마지막 라인에 접속을 허용할 유저ID를 적어주는 것입니다.
AllowUsers username1 username2 username3
이렇게 하고 /etc/init.d/sshd restart 하시면, SSH의 경우 허용된 유저이외에는 접속을 허가하지 않습니다.